网络安全 IT路线图 节选 © 2021 高德纳咨询有限公司及/或其关联公司版权所有。保留所有权利。CM_GTS_1051484 成功企业如何建立基于风险的网络安全体系以确保业务的 敏捷性和弹性？ 数字化业务转型和新兴的网络物理系统带来了前所未有的安全风险。鉴于此，不少企业纷纷开始采用新的网络安全手段。到2023年，75%的企业将重新建构风险和安全治理体系以满足新的网络物理系统（CPS）、融合IT、OT、物联网（IoT）和物理安全需求——而目前这一比例仅为15%*。 然而，企业往往难以平衡网络安全和业务运营需求。首席信息安全官（CISOs）可建立完善的流程，以制定基于风险的决策、抵御各种安全威胁、防范数据泄露和其它网络安全风险。 Gartner对不同行业的数千家企业进行了深入调查和广泛交流，以此为基础形成了网络安全最佳实践，并将其编制成可定制的路线图。通过该路线图，贵公司可以了解计划和实行卓有成效的网络安全项目所需的关键阶段、资源和人员。 *来源：Gartner 网络安全项目中的一些关键问题： 如何在降低风险的同时确保业务弹性、实现增长目标？ 如何利用成果导向的方式确定网络安全的重点及相关投资？ 需要哪些领导和团队参与？ 2 1 3 协调战略 制定行动计划 启动执行 构建和完善项目 评估和优化 项目包括哪些主要阶段？ Gartner以客户网络安全项目的成功经验为基础，通过深入交流提炼出了相关的最佳实践。本路线图按先后顺序介绍了不同阶段的主要目标和期望成果，同时也有助于协调各利益相关方。 下面列出了部分关键里程碑和Gartner相关资源；全部里程碑及各阶段所需资源请见完整路线图。 网络安全 IT 路线图（节选） 1 协调战略 确定目标、建立业务用例 部分任务包括： 了解关键业务目标；明确项目使命和愿景；确定业务、技术和威胁驱动因 素 确定项目目标、价值以及关键利益相关方的职能职责 按照企业战略确定安全控制措施，并将其整合到标准化的安全框架之中 征询利益相关方反馈、制定关键目标、完成安全战略文档摘要 + 更多内容 Gartner提供的资源包括： • 电话咨询：讨论用于在企业中落实安全和风险管理的关键业务解决方案 • 研究报告：按照业务目标制定网络安全纲领，并在更大的范围内进行宣传 + 更多内容 制定行动计划 建立风险排序框架 部分任务包括： 进行漏洞评估和渗透测试 建立当前成熟度基线，确定目标状态和进行差距分析 争取高管或董事会的支持及相关资源 建立安全架构、策略框架和解决方案层 + 更多内容 Gartner提供的资源包括： • 零后悔：领导企业制定更合理的采购决策 • IT财务管理：CIO必须掌握的四种支出视图 • 网络安全成本跟踪与报告 + 更多内容 2 评估和优化 构建和完善项目 制定行动计划 协调战略 启动执行 网络安全 IT 路线图（节选） 建立基线 发现机会 实施 制度化 监控和完善 评估和优化 构建和完善项目 启动执行 制定行动计划 协调战略 启动执行 设计和调整团队结构 部分任务包括： 整合功能、工具和技术 明确安全团队的职能职责，确定需要问责、咨询和通告的利益相关方 培养关键能力，通过培训填补能力空白利用指标和激励措施推动问责 + 更多内容 Gartner提供的资源包括： • 电话咨询：与专家讨论“网络安全的CARE标准” • 研究报告：网络安全及其对业务的影响 • 现场研讨会：讨论如何通过一系列关键措施降低在家办公的网络攻击风险 + 更多内容 构建和完善项目 通过治理维护问责制度 部分任务包括： 形成关键事件响应能力，制定数据泄露应对方案 建立完善的项目结构，以监控和应对高级威胁 在员工中树立安全行为文化，启动定制培训和宣传项目 制定针对网络威胁的报告、响应和传播方案 + 更多内容 Gartner提供的资源包括： • 分析师咨询：与分析师讨论如何制定合理指标以评估网络安全的影响 • 分析师咨询：与分析师讨论如何采取适当方式向利益相关方宣传网络安全对业务的影响 + 更多内容 网络安全 IT 路线图（节选） 3 建立基线 发现机会 监控和完善 实施 制度化 建立基线 发现机会 评估和优化 宣传项目价值 部分任务包括： 制定相关计划以宣传项目对企业和董事会的价值 跟踪指标、寻求反馈，以评估和提高项目效度 再次进行成熟度评估以便进一步优化 + 更多内容 Gartner提供的资源包括： • 电话咨询：讨论相关要点，以进一步加强企业对网络安全风险的准备 • 分析师咨询：再次进行Gartner IT Score评估以衡量进度、调整重点 + 更多内容 网络安全 IT 路线图（节选） 实施 制度化 评估和优化 4 需要哪些人参与？ 最成功的企业会为网络安全项目建立跨部门团队。下图列出了Gartner建议参与项目的部门——它们有助于确保顺利完成项目里程碑。 CISO 领导网络安全战略及项目的制定；确保网络安全战略与业务战略及目标保持一致；领导评估、规划及执行；在整个企业内部宣传网络安全战略及进展情况；在项目实施过程中与主要领导和利益相关方进行协作 CIO 与企业领导协作，指导网络安全项目的构建；在整个企业内部宣传网络安全战略及目标 专业技术人员团队 设计、实施、改进和维护安全架构、策略和程序；监控和评估网络安全情况，并针对新的威胁加以完善；根据需要提升技能 应用领导及其团队 CISO的主要合作伙伴之一；协助进行安全项目和运营关键要素的实施及运行 企业架构领导及其团队 与CISO和其他IT领导协作，确保安全战略和架构与企业整体架构保持一致并充分融入后者 IT 运维领导及其团队 CISO的主要合作伙伴之一；协助进行安全项目和运营关键要素的实施及运行 安全和风险管理领导及其团队 与CISO合作，将网络安全整合到治理、风险、合规项目和流程之中 网络安全 IT 路线图（节选） 5 关键任务 Pacific Textiles希望建立完善的框架以确保IT合规，最大限度地降低网络安全风险，从而优化业务流程、打造一个面向数字化业务的环境。 Gartner服务 在Gartner专家、研究报告和工具的帮助下，Pacific Textiles完成了ERP系统信息的数字化，利用新技术实现了制造流程的自动化，并制定了切实可行的网络安全路线图。 项目成就 在Gartner的帮助下，Pacific Textiles： • 从全局角度完善了治理和风险管理程序 • 为数字化业务打下了坚实的基础 • 优化了业务流程，节约了高管的时间和精力 客户成功案例：利用网络安全路线图实现IT合规 网络安全 IT 路线图（节选） 6 Gartner路线图旨在帮助CIO和IT领导成功实施新项目、缩短时间和降低成本。我们的路线图系列研究报告全面涵盖了IT领导的工作重点，如： • 数据和分析 • 数字化转型 • 安全 • 数据战略 • 云战略 • 提高信息安全成熟度 • 迁移到云 • IT组织设计 • 客户体验 • ERP转型 成为Gartner的客户，意味着您将加入全球最大的CIO和IT领导圈。可随时查阅此类洞察报告，并根据具体情况支持您的战略重点。 探索更多资源，深入了解网络安全 反思安全与风险策略 数字化业务CISO 网络安全会议 客户成功案例：成为世界级的网络安全领先企业 © 2021高德纳咨询有限公司及/或其关联公司版权所有。保留所有权利。CM_GTS_1051484 如需完整版网络安全IT路线图，请洽： 美国：1 855 534 9015 全球：+44 (0) 33 3222 1751 成为 Gartner 客户